все лекции
.pdf2.3 Классификация способов защиты информации
В рамках системы множество и разнообразие видов защиты информации определяется способами воздействия на:
–дестабилизирующие факторы или порождающие их причины;
–на элементы системы;
–защищаемую информацию;
–окружающую среду,
внаправлении повышения показателей защищенности информации.
Эти способы могут быть классифицированы следующим образом: морально-этические и законодательные, административные и психологические, защитные возможности программных и аппаратных средств.
Кморально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирования программ в настоящее время в основном используются меры воспитательного плана, необходимо внедрять в сознание людей аморальность всяческих покушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.
Законодательные средства защиты – это законы, постановления Правительства и указы Президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.
Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.
Административные меры – это действия, предпринимаемые руководством предприятия или организации для обеспечения информационной безопасности.
Ктаким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предприятием средств безопасности.
Представители администрации, которые несут ответственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российскими тестирующими организациями.
Психологические меры безопасности могут играть значительную роль в укреплении безопасности системы. Пренебрежение учётом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к нарушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны менять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумышленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удаленных пользователей не исключено, что такой простой психологический прием может сработать.
Кфизическим средствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства блокирующие физический доступ
котдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения, и т. д.
Технические средства информационной безопасности реализуются программным и аппаратным обеспечением. Такие средства решают самые разнообразные задачи по защите
13
системы, например контроль доступа, включающий процедуры аутентификации и авторизации, аудит, шифрование информации, антивирусную защиту, контроль сетевого графика и много других задач.
Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.
2.4 Организационно-технические и режимные (административные) меры
Административные меры – это действия, предпринимаемые руководством предприятия или организации для обеспечения информационной
безопасности.
К таким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные
инструкции, строго определяющие порядок работы с конфиденциальной инфор-
мацией на компьютере. К административным мерам также относятся правила
приобретения предприятием средств безопасности.
Представители администрации, которые несут ответственность за защи-
ту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков.
Особенно это касается продуктов, связанных с шифрованием. В таких случаях же-
лательно проверить наличие у продукта сертификата, выданного российскими тестирующими организациями.
К таким мерам защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе со-
здания и эксплуатации системы обработки и передачи данных организации с целью обеспечения защиты информации.
Насколько важны организационно-режимные мероприятия в общем арсенале средств защиты, говорит уже хотя бы тот факт, что ни одна информационная
система (ИС) не может функционировать без участия обслуживающе-
го персонала.
14
Кроме того, организационно-режимные мероприятия охватывают
все структурные элементы системы защиты на всех этапах их жиз-
ненного цикла:
–строительство помещений;
–проектирование системы;
–монтаж и наладка оборудования;
–испытания и проверка в эксплуатации аппаратуры, оргтехники, средств обработки и передачи данных.
Содной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности си-
стемы.
Сдругой стороны, руководство организации должно регламентировать правила обработки и защиты информации, а также установить меру ответственности за нарушение этих правил.
Защита данных административными методами содержит ряд весьма
простых действий, которые могут значительно повысить степень защиты корпо-
ративной организации без больших финансовых вливаний.
1 Более тщательный контроль за персоналом, в особенности за самыми низкооплачиваемыми работниками, например уборщиками и
охранниками.
2 Аккуратная незаметная проверка послужного списка нанимаемого
работника, которая поможет избежать возникновения проблем в будущем.
3 Ознакомление нанимаемого сотрудника с документами, описывающими политику компании в области информационной безопасности, и получение от него соответствующей расписки.
4 Изменение содержимого всех экранов для входа в систему таким образом, чтобы они отражали политику компании в области защиты данных (эта мера рекомендуется Министерством юстиции США).
5Повышение уровня физической защиты путём использования документоуничтожителей и бумагосжигающих машин.
6Блокировка всех возможностей подключения внешних дисков в
организациях, в которых установлена система, – это позволит миними-
зировать риск компьютерных краж и заражения вирусами.
15
7 Признание за сотрудниками определённых прав при работе с
компьютерами, например организация досок объявлений, соблюдение конфи-
денциальности электронной почты, разрешение использовать определённые компьютерные игры.
Сотрудники компании должны быть союзниками, а не противниками
администратора системы в борьбе за безопасность данных.
В настоящее время фирмы, специализирующиеся на изготовлении
технических средств для промышленного шпионажа, выпускают устройства, которые по параметрам не уступают оперативной техни-
ке, используемой спецслужбами. Лучше вооружены сегодня те спецслужбы,
у которых есть для этого необходимые денежные средства.
Это обстоятельство необходимо учитывать при оценке потенциаль-
ных возможностей конкурентов по ведению промышленного шпионажа.
Первым шагом в создании эффективной системы защиты организации от технического проникновения должна стать оценка основных методов промышленного шпионажа, которыми могут воспользовать-
ся конкуренты, изучение характеристик, имеющихся у них на вооружении
средств съёма информации и технических средств организации.
Предварительный анализ уязвимости помещений и технических средств от промышленного шпионажа позволяет сделать вывод о наиболее вероятных методах съёма информации, которые может использовать кон-
курент.
Такой анализ даёт возможность службе безопасности фирмы вырабо-
тать необходимые организационно-режимные, технические и
специальные меры защиты объекта организации.
16
Организационно-режимные меры защиты базируются на за-
конодательных и нормативных документах по безопасности информации.
Они должны охватывать все основные пути сохранения инфор-
мационных ресурсов:
а) ограничение физического доступа к объектам обработки и хране-
ния информации и реализацию режимных мер;
б) ограничение возможности перехвата информации вследствие су-
ществования физических полей;
в) ограничение доступа к информационным ресурсам и другим элемен-
там системы обработки данных путём установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выяв-
ление и уничтожение «закладок»; д) создание твёрдых копий, важных с точки зрения утраты массивов
данных; е) проведение профилактических и других мер от внедрения «виру-
сов».
По содержанию все множество организационных мероприятий можно условно разделить на следующие группы.
1 Мероприятия, осуществляемые при создании систем. Заключа-
ются в учёте требований защиты при:
а) разработке общего проекта системы и её структурных элемен-
тов;
б) строительстве или переоборудовании помещений;
в) разработке математического, программного, информационного
или лингвистического обеспечения;
д) монтаже и наладке оборудования;
е) испытаниях и приёмке системы.
Особое значение на данном этапе придаётся определению действительных возможностей механизмов защиты, для чего целесообразно осуществить целый комплекс испытаний и проверок.
17
2 Мероприятия, осуществляемые в процессе эксплуатации систем:
а) организация пропускного режима;
б) организация автоматизированной обработки информации;
в) распределение реквизитов разграничения доступа (паролей
полномочий и пр.);
д) организация ведения протоколов; е) контроль выполнения требований служебных инструкций
и т. п.
3 Мероприятия общего характера:
а) учёт требований защиты при подборе и подготовке кадров; б) организация проверок механизма защиты;
в) планирование всех мероприятий по защите информации;
д) обучение персонала;
е) проведение занятий с привлечением ведущих организаций;
ж) участие в семинарах и конференциях по проблемам безопасности информации и т. п.
2.4.1 Организационно-технические мероприятия
Основной перечень организационно-технических мероприятий по защите информации связан с разделением полномочий.
1 Разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности.
2 Внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программноинформационных ресурсов системы и действиям в случае возникновения кризисных ситуаций.
3 Оформление юридических документов (договора, приказы и распоряжения руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитраж, третейский суд) о правилах разрешения споров, связанных с применением элек-
тронной подписи. |
|
4 Создание научно-технических и методологических основ защиты системы. |
|
5 Исключение возможности тайного проникновения в помещения, |
установки |
прослушивающей аппаратуры (и т. п.). |
|
6 Проверка и сертификация используемых в системе технических и программных средств на предмет определения мер по их защите от утечки по каналам побочных электромагнитных излучений и наводок.
7 Определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы.
18
8 Разработка правил управления доступом к ресурсам системы, определение перечня задач, решаемых структурными подразделениями организации с использованием системы, а также используемых при их решении режимов обработки и доступа к данным.
9 Определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищённости от НСД при передаче, хранении и обработке в системе.
10 Выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест процесса обработки информации и каналов доступа к ней.
11Оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты.
12Организация надёжного пропускного режима.
13Определение порядка учёта, выдачи, использования и хранения съёмных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.
14Организация учёта, хранения, использования и уничтожения документов и носителей с закрытой информацией.
15Организация и контроль за соблюдением всеми должностными лицами требований по обеспечению безопасности обработки информации.
16Определение перечня необходимых мер по обеспечению непрерывной работы системы в критических ситуациях, возникающих в результате НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий и т. п.
17Контроль функционирования и управление используемыми средствами защиты.
18Явный и скрытый контроль за работой персонала системы.
19Контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования компьютерной системы.
20Периодический анализ состояния и оценка эффективности мер защиты информации.
21Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. п.).
22Анализ системных журналов, принятие мер по обнаруженным нарушениям правил рабо-
ты.
23Составление правил разграничения доступа пользователей к информации.
24Периодическое с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты.
25Рассмотрение и утверждение всех изменений в оборудовании компьютерных систем, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т. п.
26Проверка принимаемых на работу, обучение их правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.
?????????????????????????????????????????
При организация секретного делопроизводства,
во вpемя pаботы по защите тайны необходимо обpатить особое внимание
на документы организации, поскольку большинство стpуктуp в нашей
стpане основные объемы инфоpмации, в том числе конфиденциальной, хpанят в документах.
Следует соблюдать опpеделённые пpавила. Это даёт весомые гаpантии надежной охpаны
19
коммеpческих секpетов и ставит заслон на пути утечки инфоpмации. Эти пpавила сводятся к следующему:
–стpогий контpоль (лично или чеpез службу безопасности) за допуском пеpсонала к
секpетным документам;
–контpоль за пpинятием соответствующими служащими письменных обязательств о сохpанении тайны фиpмы;
–внедpение в повседневную пpактику механизмов и технологий защиты тайны фиpмы;
Веpоятность утечки секpетной инфоpмации из документов особенно велика в пpоцессе
их пеpесылки. При возможности, следует пользоваться услугами военизиpованной фельдсвя-
зи. Или доставку секpетных документов и ценностей осуществлять собственными силами с пpивлечением охpанников организации или обpащаться в специальные фиpмы.
Служащие, ответственные за сохpанность, использование и своевpеменное уничтожение секpетных документов, должны быть защищены
от соблазна тоpговли секpетами организации pадикальным способом
–хоpошей платой за pаботу.
Впpоцессе хpанения и пеpесылки секpетных документов могут быть пpименены сpедства защиты и сигнализации о несанкциониpованном доступе к ним. Одна из них – невидимое
светочувствительное покpытие, наносимое на документы, котоpое пpоявляется под воздей-
ствием света, указывая тем самым на факт несанкциониpованного ознакомления с документами или их фотогpафиpования.
Для ведения секpетного делопpоизводства должны пpивлекаться
люди, пpошедшие специальную пpовеpку, и в честности котоpых нет сомне-
ний. Кpоме того, эти люди должны быть соответствующим обpазом под-
готовлены и обучены, т. к. пpофессиональные недочёты и отступление от пpавил в их pаботе могут слишком доpого стоить.
Помещения, в котоpых ведется pабота с секpетными документами, должны хоpошо охpаняться, а доступ туда должен быть закpыт для постоpонних лиц.
Эти помещения должны иметь пpочные пеpекpытия и стены, усиленную металлическую двеpь, пpочные оконные pамы с двойными стёклами и pешёткой, плотные штоpы.
Хpанилище должно быть обоpудовано охpанной и пожаpной сигнализацией и тщательно охpаняться силами внутpенней охpаны. Доступ в хpанилище стpого огpаничен.
Не pекомендуется pасполагать такое помещение на пеpвом и последнем этажах здания.
Секpетные документы должны хpаниться в сейфах или несгоpа-
емых металлических шкафах с надёжными замками и запоpами.
20
Даже тщательно охpаняемые тайны могут стать достоянием про-
тивной стороны из обычных публикаций.
Поэтому один из работников обязательно должен быть наделён са-
мыми шиpокими властными полномочиями, чтобы заниматься пpед-
ваpительной цензуpой готовящихся матеpиалов для симпозиумов, выставок,
конгpессов, а также выступлений, научных и иных публикаций сотpудников.
Интеpесы охpаны секpетов организации чаще всего находятся в тpудно pазpешимом пpотивоpечии с личными амбициями, самолюбием, академической независимостью сотpудников.
Сотpудник, осуществляющий цензуpу откpытых публикаций, должен
pуководствоваться пpостым, но эффективным пpавилом.
Суть его в том, чтобы В МАКСИМАЛЬНО ВОЗМОЖНОЙ СТЕПЕНИ
РАЗДРОБИТЬ, РАЗОБЩИТЬ ПО ВРЕМЕНИ, В ПРОСТРАНСТВЕ И ПО АВТОРАМ ТУ СТРОГО ОХРАНЯЕМУЮ ИНФОРМАЦИЮ, БЕЗ КОТОPОЙ НЕВОЗМОЖНО ОПУБЛИКОВАНИЕ УПОМЯНУТЫХ
PАБОТ.
Конечно, всё это затpудняет осуществление научно-исследовательских и опытноконстpуктоpских pабот, но зато существенно пpепятствует сбоpу секpетной инфоpмации. Этот барьер преодолим лишь посредством больших затpат.
2.5 Реализация мероприятий по защите информации
При проведении мероприятий по защите информации следует учитывать
правила, которые имеют ничтожное значение, ЕСЛИ ПОЛЬЗОВАТЕЛЬ АКТИВНО ИХ НАРУШАЕТ.
Нужно создавать пользовательскую группу разработки правил безопасности. Пригласите в неё добровольцев или сформируйте из равноправных представителей всех служб и отделов.
В общем виде совокупность мероприятий, направленных на
предотвращение угроз, определяется следующим образом:
а) введение избыточности технических средств, ПО и массивов данных;
21
б) резервирование технических средств;
в) регулирование доступа к техническим средствам, ПО, массивам
информации;
д) регулирование использования программно-аппаратных средств и массивов информации;
е) криптографическая защита информации;
ж) контроль элементов компьютерной системы;
и) регистрация сведений;
к) своевременное уничтожение ненужной информации;
л) сигнализация; м) своевременное реагирование.
Главным принципом построения системы защиты должен быть принцип адаптируемости, т. е. способности к приспособлению при из-
менении структуры технологических схем или условий функциониро-
вания компьютерной системы.
Другими принципами могут быть:
–минимизация затрат, максимальное использование серийных средств;
–обеспечение решения требуемой совокупности задач защиты;
–комплексное использование средств защиты, оптимизация архитектуры;
–удобство для персонала;
–простота эксплуатации.
Можно заключить, что СЗИ компьютерных систем целесообразно
строить в виде ВЗАИМОСВЯЗАННЫХ ПОДСИСТЕМ, а именно:
–подсистема криптографической защиты;
–подсистема обеспечения юридической значимости электронных
документов;
–подсистема защиты от НСД;
–подсистема организационно-правовой защиты;
–подсистема управления СЗИ.
22